Comment arrêter et prévenir une attaque DDoS sur WordPress

WordPress est l’un des constructeurs de sites web les plus populaires au monde car il offre des fonctionnalités puissantes et une base de code sécurisée. Toutefois, cela en fait une cible pour les attaques DDoS.

Les pirates utilisent les attaques DDoS pour ralentir les sites web et les rendre éventuellement inaccessibles aux utilisateurs/utilisatrices. Ces attaques peuvent viser aussi bien les petits que les grands sites.

Maintenant, vous vous demandez peut-être comment un site de petite entreprise utilisant WordPress peut prévenir de telles attaques DDoS avec des ressources limitées.

Dans ce guide, nous allons vous afficher comment arrêter et prévenir efficacement une attaque DDoS sur WordPress. Notre objectif est de vous aider à apprendre à gérer la sécurité de votre site contre une attaque DDoS comme un vrai pro.

Qu’est-ce qu’une attaque DDoS ?

Le DDoS (Distributed Denial of Service) est un type de cyberattaque qui utilise des ordinateurs et des appareils compromis pour envoyer ou demander des données à un serveur d’hébergement WordPress. Le but de ces demandes est de ralentir et éventuellement de faire planter le serveur ciblé.

Les attaques DDoS ont évolué à partir des attaques DoS (déni de service). À la différence d’une attaque DoS, elles tirent parti d’un grand nombre de machines ou de serveurs compromis, répartis dans différentes régions.

Ces machines compromises forment un réseau, parfois appelé botnet. Chaque machine affectée agit comme un bot et lance des attaques sur le système ou le serveur ciblé. Cela leur permet de passer inaperçus pendant un certain temps et de causer un maximum de dégâts avant d’être bloqués.

Même les plus grandes entreprises de l’internet sont vulnérables aux attaques DDoS.

En 2018, GitHub, une plateforme d’hébergement de code très populaire, a été témoin d’une attaque DDoS massive qui a envoyé 1,3 téraoctet par seconde de trafic sur ses serveurs.

Vous vous souvenez peut-être aussi de la fameuse attaque de 2016 contre DNS (un fournisseur de services DNS). Cette attaque a fait l’objet d’une couverture médiatique mondiale car elle a touché de nombreux sites populaires comme Amazon, Netflix, PayPal, Visa, Airbnb, le New York Times, Reddit et des milliers d’autres sites.

FAQ sur les DDoS

Voici quelques réponses aux questions fréquemment posées sur les attaques DDoS.

Pourquoi les attaques DDoS se produisent-elles ?

Les attaques DDoS sont motivées par plusieurs raisons. En voici quelques-unes :

• Les personnes qui s’intéressent à la technique et qui s’ennuient trouvent cela aventureux.
• Personnes et groupes faisant valoir un point de vue politique
• Groupes ciblant les sites et les services d’un pays ou d’une région en particulier
• Attaques ciblées contre une entreprise ou un fournisseur de services spécifique afin de lui causer un préjudice pécuniaire
• Chantage afin de commander une rançon

Quelle est la différence entre une attaque par force brute et une attaque DDoS ?

Les attaques par force brute tentent d’obtenir un accès non autorisé à un système en devinant les mots de passe ou en essayant des combinaisons aléatoires.

Les attaques DDoS sont purement utilisées pour faire planter le système ciblé, le rendant lent ou inaccessible.

Pour plus de détails, consultez notre guide sur la façon de bloquer les attaques par force brute sur WordPress.

Quels dommages peuvent être causés par une attaque DDoS ?

Les attaques DDoS peuvent réduire les performances d’un site ou le rendre inaccessible. Il en résulte une mauvaise expérience pour les utilisateurs/utilisatrices, une perte d’activité et les coûts d’atténuation de l’attaque, qui peuvent s’élever à des milliers de dollars.

Voici une ventilation de ces coûts :

• Perte d’activité due à l’inaccessibilité du site
• Coût du support client/cliente pour répondre aux requêtes liées à l’interruption du service
• Coût de l’atténuation de l’attaque par le recours à des services de sécurité ou de support
• Le coût le plus important est la mauvaise expérience des utilisateurs/utilisatrices et la réputation de la marque

Comment arrêter et prévenir les attaques DDoS sur WordPress ?

Les attaques DDoS peuvent être habilement déguisées et difficiles à traiter. Cependant, avec quelques bonnes pratiques de sécurité de base, vous pouvez prévenir et empêcher facilement les attaques DDoS d’affecter votre site WordPress.

Voici les étapes à suivre pour prévenir et stopper les attaques DDoS sur votre site :

Retirer les attaques DDoS / Brute Force Verticales

La meilleure chose à propos de WordPress est qu’il est très flexible. WordPress autorise des extensions et des outils tiers à s’intégrer à votre site et à y ajouter de nouvelles fonctionnalités.

Pour ce faire, WordPress met plusieurs API à la disposition des programmeurs. Ces API sont des méthodes par lesquelles les extensions et les services WordPress tiers peuvent interagir avec WordPress.

Cependant, certaines de ces API peuvent également être exploitées lors d’une attaque DDoS en envoyant une tonne de demandes. Vous pouvez les désactiver en toute sécurité pour réduire ces demandes.

Désactiver XML-RPC dans WordPress

XML-RPC autorise les applications tierces à interagir avec votre site WordPress. Par exemple, vous avez besoin de XML-RPC pour utiliser l’application WordPress sur votre appareil mobile.

Si vous êtes comme la grande majorité des utilisateurs qui n’utilisent pas l’application mobile pour gérer leur site web, vous pouvez désactiver XML-RPC en ajoutant simplement le code suivant au fichier .htaccess de votre site :

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Pour des méthodes alternatives, voir notre guide sur la façon de désactiver facilement XML-RPC dans WordPress.

Désactiver l’API REST dans WordPress

L’API REST JSON de WordPress permet aux extensions et aux outils d’accéder aux données de WordPress, de mettre à jour le contenu et/ou même de le supprimer. Voici comment désactiver l’API REST dans WordPress.

Nous vous recommandons d’utiliser l’extension WPCode. Il s’agit de la meilleure extension d’extraits de code qui vous permettra de désactiver l’API REST en quelques clics.

En savoir plus, Veuillez consulter notre guide sur la désactivation de l’API REST JSON dans WordPress.

Vous pouvez également utiliser l’extension Disable WP Rest API. L’extension est prête à l’emploi et désactive l’API REST pour tous les utilisateurs/utilisatrices non connectés.

Activer un WAF (Website Application Firewall)

La désactivation des vecteurs d’attaque tels que l’API REST et XML-RPC n’offre qu’une protection limitée contre les attaques DDoS. Votre site reste vulnérable aux demandes HTTP normales.

S’il est possible d’atténuer les effets d’une petite attaque DDoS en essayant d’attraper les adresses IP des mauvaises machines et en les bloquant manuellement, cette approche est moins efficace lorsqu’il s’agit d’une attaque de grande ampleur.

Le moyen le plus simple de bloquer les demandes suspectes est d’activer un pare-feu d’application de site web.

Un pare-feu d’application de site web agit comme un proxy entre votre site et tout le trafic entrant. Il utilise un algorithme intelligent pour détecter toutes les demandes suspectes et les bloquer avant qu’elles n’atteignent le serveur de votre site.

Nous recommandons d’utiliser Sucuri car c’est la meilleure extension de sécurité WordPress et le meilleur pare-feu de site. Il fonctionne au niveau du DNS, ce qui signifie qu’il peut attraper une attaque DDoS avant qu’elle ne puisse faire une demande à votre site.

Les tarifs de Sucuri commencent à partir de 199,99 $ par an.

Nous utilisons Sucuri sur WPBeginner. Consultez notre étude de cas sur la façon dont ils aident à bloquer des centaines de milliers d’attaques sur notre site.

Vous pouvez également utiliser Cloudflare. Cependant, le service gratuit de Cloudflare offre uniquement une protection limitée contre les attaques DDoS. Vous devrez souscrire au moins à leur offre commerciale pour bénéficier d’une protection DDoS de calque 7, qui coûte environ 200 $ par mois.

Voir notre article sur Sucuri vs. Cloudflare pour une comparaison détaillée.

Déterminer s’il s’agit d’une attaque par force brute ou d’une attaque DDoS

Les attaques par force brute et les attaques DDoS utilisent toutes deux de manière intensive les ressources du serveur, ce qui signifie que leurs symptômes sont assez similaires. Votre site devient plus lent et peut se bloquer.

Vous pouvez facilement trouver s’il s’agit d’une attaque par force brute ou d’une attaque DDoS en consultant les rapports de connexion du plugin Sucuri.

Il suffit d’installer et d’activer l’extension gratuite de Sucuri, puis de se rendre sur la page  » Sécurité Sucuri  » Dernières connexions.

Si vous voyez un grand nombre de demandes de connexion aléatoires, cela signifie que votre wp-admin subit une attaque par force brute. Pour y mettre fin, vous pouvez consulter notre guide sur la façon de bloquer les attaques par force brute sur WordPress.

Que faire en cas d’attaque DDoS ?

Les attaques DDoS peuvent se produire même si vous avez mis en place un pare-feu d’application web et d’autres protections. Des entreprises comme CloudFlare et Sucuri font face à ces attaques régulièrement, et la plupart du temps, vous n’en entendrez jamais parler car elles peuvent facilement les atténuer.

Cependant, dans certains cas, lorsque ces attaques sont de grande ampleur, elles peuvent tout de même avoir un impact sur vous. Dans ce cas, il est préférable de se préparer à atténuer les problèmes qui peuvent survenir pendant et après l’attaque DDoS.

Voici quelques mesures que vous pouvez prendre pour minimiser l’impact d’une attaque DDoS.

1. Alerter les membres de votre équipe

Si vous avez une équipe, vous devez informer vos collègues de ce problème.

Cela les aidera à se préparer aux requêtes du support client, à détecter les problèmes éventuels et à apporter leur aide pendant ou après l’attaque.

2. Informer les clients/clientes de la gêne occasionnée

Une attaque DDoS peut affecter l’expérience des utilisateurs/utilisatrices sur votre site. Si vous gérez un magasin Outil de personnalisation, alors vos clients peuvent ne pas être en mesure de passer une commande ou de se connecter à leurs comptes.

Vous pouvez annoncer sur vos comptes de réseaux sociaux que votre site rencontre des difficultés techniques et que tout rentrera bientôt dans l’ordre.

Si l’attaque est importante, alors vous pouvez également utiliser votre service de marketing e-mail pour communiquer avec les clients et leur demander de suivre vos mises à jour sur les réseaux sociaux.

Si vous avez des clients/clientes personnalisés, vous pouvez utiliser votre service téléphonique professionnel pour les appeler individuellement et leur faire savoir que vous travaillez au rétablissement des services.

La communication en ces temps difficiles fait une énorme différence pour préserver la réputation de votre marque.

3. Contacter le support de l’hébergeur et de la sécurité

Prenez contact avec votre fournisseur d’hébergement WordPress. L’attaque contre votre site peut faire partie d’une attaque plus large visant leurs systèmes. Dans ce cas, ils seront en mesure de vous fournir les dernières mises à jour concernant la situation.

Contactez votre service de pare-feu et faites-lui savoir que votre site fait l’objet d’une attaque DDoS. Ils pourront peut-être atténuer la situation encore plus rapidement et vous fournir de plus amples informations.

Avec des fournisseurs de pare-feu comme Sucuri, vous pouvez également définir vos Réglages pour être en  » mode paranoïaque « , ce qui aide à bloquer un grand nombre de demandes et à rendre votre site accessible aux utilisateurs/utilisatrices normaux.

Comment assurer la sécurité de votre site WordPress

WordPress est assez sûr dans sa version initiale. Cependant, en tant que constructeur de sites le plus populaire au monde, il est souvent la cible des pirates informatiques.

Heureusement, il existe de nombreuses bonnes pratiques de sécurité que vous pouvez appliquer à votre site pour le rendre encore plus sûr.

Nous avons terminé un guide complet de sécurité WordPress étape par étape pour les débutants. Il vous guidera à travers les meilleurs réglages de sécurité WordPress pour protéger votre site et ses données contre les menaces courantes.

Vous pouvez également consulter d’autres articles relatifs à l’amélioration de la sécurité de WordPress :

• Comment réaliser un audit de sécurité de WordPress (liste de contrôle complète)
• Les meilleurs plugins de sécurité WordPress pour protéger votre site (comparés)
• Les meilleurs scanners de sécurité WordPress pour détecter les logiciels malveillants et les piratages
• Comment analyser votre site WordPress pour détecter les codes potentiellement malveillants ?
• Les principales raisons pour lesquelles les sites WordPress sont piratés (et comment les éviter)
• Comment protéger votre site WordPress contre les attaques par force brute ?
• Comment trouver une porte dérobée dans un site WordPress piraté et la réparer ?
• Comment surveiller l’activité des utilisateurs sur WordPress avec les journaux d’audit de sécurité
• Comment ajouter des en-têtes de sécurité HTTP dans WordPress (Guide du débutant)

Nous espérons que cet article vous a aidé à apprendre comment bloquer et prévenir une attaque DDoS sur WordPress. Vous pouvez également consulter notre guide sur la façon de corriger les erreurs WordPress les plus courantes et nos choix d’experts pour les meilleurs fournisseurs d’hébergement infogéré WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.